[IIS 6.0] コンピュータは個々のサイトによって信頼される証明機関をすべて信頼する必要がある

文書翻訳 文書翻訳
文書番号: 332077 - 対象製品
すべて展開する | すべて折りたたむ

現象

クライアント証明書を要求する Web サイトをインターネット インフォメーション サービス (IIS) 5.0 に配置している場合に、このサーバーを IIS 6.0 が含まれる Microsoft Windows Server 2003 にアップグレードすると、クライアント証明書が証明書信頼リスト (CTL) で制御されていない場合でも、サイトに接続するクライアントが次のいずれかのエラー メッセージを受け取ることがあります。
HTTP 403.16 - アクセスは許可されていません : クライアント証明書が信用されていないか、または無効です。
HTTP エラー 403.16 - アクセスは許可されていません : クライアント証明書の形式が正しくないか、Web サーバーから信頼されていません。
HTTP エラー 403.7 - アクセスは許可されていません : SSL クライアント証明書が必要です。
クライアントが Web サイトにアクセスしたとき、ブラウザに [クライアント認証] ダイアログ ボックスが表示されないことがあります ([クライアント認証] ダイアログ ボックスから、サイトへのアクセスに使用するクライアント証明書を選択できます)。[クライアント認証] ダイアログ ボックスが表示されても、証明書の一覧にクライアント証明書が表示されない場合があります。

原因

この問題は、IIS コンピュータが信頼していない証明機関によってクライアント証明書が作成されている場合に発生することがあります。

詳細

IIS 5.0 では、ローカル コンピュータの [個人] 証明書ストアにルート証明機関証明書がインストールされている証明機関を含む CTL を指定することができます。一方、IIS 6.0 では、ルート証明機関証明書は、ローカル コンピュータの [信頼されたルート証明機関] 証明書ストアにインストールされていなければなりません。この変更に伴って、IIS 6.0 は crypto API で規定されている規則に基づいて証明書を検証します。ルート証明機関証明書が、ローカル コンピュータの [信頼されたルート証明機関] 証明書ストアにインストールされていない場合、crypto API によって証明書が拒否されます。

解決方法

エラーを解決して証明書をブラウザに表示するには、ルート証明機関の証明書を、ローカル コンピュータの [信頼されたルート証明機関] 証明書ストアにインストールする必要があります。
  1. 証明書スナップイン (ローカル コンピュータ用) を追加します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力して [OK] をクリックします。
    2. [ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。
    3. [スナップイン] で [証明書] をダブルクリックし、[コンピュータ アカウント] をクリックします。[次へ] をクリックします。
    4. [ローカル コンピュータ] をクリックし、[完了] をクリックして [閉じる] をクリックします。
    5. [OK] をクリックしてウィザードを終了します。
  2. ローカル コンピュータの個人証明書ストアから証明書をエクスポートします。
    1. スナップインで、[証明書 (ローカル コンピュータ)]、[個人]、[証明書] の順にダブルクリックします。
    2. クライアント証明書を発行する証明機関のルート証明機関証明書を右クリックし、[すべてのタスク] をクリックします。[エクスポート] をクリックして、証明書のエクスポート ウィザードを開きます。
    3. [次へ] をクリックし、秘密キーのエクスポートの有無を指定します。[次へ] をクリックし、エクスポートの形式を選択して、エクスポートした証明書を格納するディレクトリを指定します。[次へ] をクリックし、[完了] をクリックします。

      : 証明機関が Microsoft Windows 2000 ベースのサーバーでない場合、相互運用性のために DER Encoded Binary X.509 形式または Base64 Encoded X.509 形式を使用します。証明機関の種類が不明の場合はこれらの形式のいずれかを使用してください。
  3. ローカル コンピュータの信頼されたルート証明機関証明書ストアに証明書をインポートします。
    1. スナップインで、[信頼されたルート証明機関] をダブルクリックします。[証明書] を右クリックし、[すべてのタスク] をポイントして [インポート] をクリックし、証明書のインポート ウィザードを開きます。
    2. [次へ] をクリックし、手順 2. でエクスポートした証明書を指定して [開く] をクリックします。
    3. [次へ] をクリックします。[証明書をすべて次のストアに配置する] が選択されていること、および [証明書ストア] に [信頼されたルート証明機関] が表示されていることを確認します。
    4. [次へ] をクリックし、[完了] をクリックします。
また、上記のエラー メッセージは、管理者が以前に [証明書信頼リストを有効にする] チェック ボックスをオンにし、ダイアログ ボックスで 1 つ以上のルート証明機関を入力して、特定の信頼リストを構成していることを示す場合もあります。[証明書信頼リストを有効にする] チェック ボックスがオンになっている場合は、予期したサーバーの証明書が一覧に表示されていることを確認します。この一覧には、更新された証明書がすべて含まれています。確認操作を行うには、以下の手順を実行します。
  1. IIS の管理コンソールを開き、上記のエラーが発生している Web サイトを右クリックし、[プロパティ] をクリックします。
  2. [ディレクトリ セキュリティ] タブをクリックします。
  3. [セキュリティで保護された通信] で、[編集] をクリックします。
  4. [証明書信頼リストを有効にする] チェック ボックスがオンになっていて、[現在の CTL] ボックスに一覧が表示された場合は、以下のタスクを実行することができます。
    1. [証明書信頼リストを有効にする] チェック ボックスをオフにします。これによって、IIS では、サーバー証明書ストア内のすべての証明書を使用することができます。
    2. [編集] をクリックし、証明書信頼リスト ウィザードで表示されたメッセージに従って、適切なサーバー証明書を追加します。

      : サーバー証明書ストアから 1 つ以上の証明書が CTL に追加されている場合にのみ、[編集] を使用することができます。
    3. メッセージが表示されたら、[OK] をクリックします。
  5. クライアント証明書が必要なページをテストします。

関連情報

CTL の詳細については、製品のドキュメントを参照してください。このドキュメントを読むには、以下のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/windowsserver/ja/default.mspx
ドキュメントには IIS マネージャからもアクセスできます。 このヘルプ機能にアクセスする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
815127 [HowTo] IIS 6.0 ヘルプ ドキュメントへのアクセス方法

プロパティ

文書番号: 332077 - 最終更新日: 2006年5月10日 - リビジョン: 3.1
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Server 1.01
  • Microsoft Internet Information Services 6.0
キーワード:?
kbpending kbprb KB332077
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com